La plupart des gens ont au moins un vague sentiment que quelqu’un quelque part fait du mal avec les empreintes de données créées par leurs activités en ligne : peut-être que leur utilisation d’une application permet à cette entreprise de dresser un profil de leurs habitudes, ou peut-être qu’ils continuent d’être suivis par des les publicités.
C’est plus qu’un sentiment. De nombreuses entreprises du secteur des technologies de la santé – qui fournissent des services allant du conseil en santé mentale à l’expédition par la poste de pilules contre le trouble du déficit de l’attention/hyperactivité – ont des pratiques de confidentialité choquantes.
Un guide publié ce mois-ci par la Fondation Mozilla a révélé que 26 des 32 applications de santé mentale avaient des garanties laxistes. Les analystes de la fondation ont documenté de nombreuses faiblesses dans leurs pratiques de confidentialité.
Jen Caltrider, le chef du projet de Mozilla, a déclaré que les politiques de confidentialité des applications qu’elle utilisait pour pratiquer la batterie étaient à peine différentes des politiques des applications de santé mentale examinées par la fondation – malgré la sensibilité beaucoup plus grande de ce que cette dernière enregistre.
« Je me fiche que quelqu’un sache que je pratique la batterie deux fois par semaine, mais je me soucie que quelqu’un sache que je rends visite au thérapeute deux fois par semaine », a-t-elle déclaré. « Ces données personnelles ne sont qu’un autre pot d’or pour eux, pour leurs investisseurs. »
Les enjeux sont devenus de plus en plus pressants dans l’esprit du public. Les applications utilisées par les femmes, telles que les suivis de règles et d’autres types de technologies de gestion de la fertilité, sont désormais au centre des préoccupations avec le renversement potentiel de Roe contre Wade. Alimentés par les médias sociaux, les utilisateurs s’exhortent mutuellement à supprimer les données stockées par ces applications – un droit qui n’est pas toujours accordé aux utilisateurs d’applications de santé – de peur que les informations ne soient utilisées contre eux.
« Je pense que ces grandes entreprises de données envisagent un jour de jugement », a déclaré le sénateur américain Ron Wyden (D-Ore.). « Ils doivent décider – vont-ils protéger la vie privée des femmes qui font affaire avec eux ? Ou vont-ils essentiellement vendre au plus offrant ? »
Contrer ces craintes est un mouvement visant à mieux contrôler l’utilisation de l’information par le biais de la législation et de la réglementation. Alors que les infirmières, les hôpitaux et les autres prestataires de soins de santé respectent les protections de la vie privée mises en place par la loi sur la portabilité et la responsabilité en matière d’assurance maladie, ou HIPAA, le secteur en plein essor des applications de soins de santé a des boucliers plus étroits pour les utilisateurs.
Bien que certains défenseurs de la vie privée espèrent que le gouvernement fédéral pourrait intervenir après des années de travail, le temps presse pour une solution au Congrès à l’approche des élections de mi-mandat de novembre.
Entrez dans le secteur privé. Cette année, un groupe d’organisations à but non lucratif et d’entreprises a publié un rapport appelant à un projet d’autorégulation pour protéger les données des patients lorsqu’elles sont en dehors du système de santé, une approche que les critiques comparent au proverbial renard qui garde le poulailler.
Les bailleurs de fonds du projet racontent une autre histoire. L’initiative a été développée sur deux ans avec deux groupes : le Centre pour la démocratie et la technologie et les cadres pour l’innovation en santé. En fin de compte, un tel effort serait administré par BBB National Programs, une organisation à but non lucratif autrefois associée au Better Business Bureau.
Les entreprises participantes peuvent détenir une gamme de données, allant de la génomique à d’autres informations, et travailler avec des applications, des appareils portables ou d’autres produits. Ces entreprises accepteraient des audits, des contrôles ponctuels et d’autres activités de conformité en échange d’une sorte de certification ou de sceau d’approbation. Cette activité, selon les rédacteurs, aiderait à colmater les fuites de confidentialité dans le système actuel.
« C’est un vrai sac mélangé – pour les gens ordinaires, pour la confidentialité de la santé », a reconnu Andy Crawford, avocat principal pour la confidentialité et les données au Center for Democracy and Technology. « HIPAA a des protections de confidentialité décentes », a-t-il déclaré. Le reste de l’écosystème, cependant, a des lacunes.
Pourtant, il y a un doute considérable que la proposition du secteur privé créera un système de réglementation viable pour les données de santé. De nombreux participants – y compris certaines des entreprises et des constituants les plus puissants de l’initiative, tels qu’Apple, Google et 23andMe – ont abandonné pendant le processus de gestation. (Un porte-parole de 23andMe a cité des « problèmes de bande passante » et a noté la participation de la société à la publication des principes de confidentialité génétique. Les deux autres sociétés n’ont pas répondu aux demandes de commentaires.)
D’autres participants ont estimé que les ambitions du projet étaient tournées vers les intérêts des entreprises. Mais cette opinion n’était pas nécessairement universelle – une participante, Laura Hoffman, anciennement de l’American Medical Association, a déclaré que les entreprises à but lucratif étaient frustrées par « les contraintes qu’elles imposeraient aux pratiques commerciales rentables qui exploitent à la fois les individus et les communautés ».
De manière générale, les plans d’autoréglementation fonctionnent comme une combinaison de la carotte et du bâton. L’adhésion au cadre d’autorégulation « pourrait être un avantage marketing, un avantage concurrentiel », a déclaré Mary Engle, vice-présidente exécutive des programmes nationaux BBB. Les consommateurs pourraient préférer utiliser des applications ou des produits qui promettent de protéger la vie privée des patients.
Mais si ces entreprises s’égarent – vantant leurs pratiques de confidentialité sans vraiment protéger les utilisateurs – elles peuvent se faire frapper par la Federal Trade Commission. L’agence peut poursuivre les entreprises qui ne respectent pas leurs promesses en vertu de son autorité pour contrôler les pratiques commerciales déloyales ou trompeuses.
Mais il y a quelques problèmes clés, a déclaré Lucia Savage, experte en confidentialité chez Omada Health, une startup proposant des soins numériques pour le prédiabète et d’autres maladies chroniques. Savage était auparavant responsable de la confidentialité pour le bureau du coordinateur national des technologies de l’information sur la santé du département américain de la santé et des services sociaux. « Il n’est pas nécessaire de s’autoréguler », a-t-elle déclaré. Les entreprises peuvent choisir de ne pas adhérer. Et les consommateurs pourraient ne pas savoir rechercher une certification de bonnes pratiques.
« Les entreprises ne vont pas s’autoréguler. Elles ne le font tout simplement pas. C’est aux décideurs politiques de décider », a déclaré Caltrider de Mozilla. Elle a cité sa propre expérience – en envoyant un e-mail aux contacts de confidentialité répertoriés par les entreprises dans leurs politiques, pour ne rencontrer que le silence, même après trois ou quatre e-mails. Une entreprise a par la suite affirmé que la personne responsable de la surveillance de l’adresse e-mail était partie et n’avait pas encore été remplacée. « Je pense que c’est révélateur », a-t-elle déclaré.
Ensuite, il y a l’application : la FTC couvre les entreprises, pas les organisations à but non lucratif, a déclaré Savage. Et les organisations à but non lucratif peuvent se comporter aussi mal que n’importe quel baron voleur rapace. Cette année, une hotline anti-suicide a été impliquée dans un scandale après que Politico a rapporté qu’elle avait partagé avec une société d’intelligence artificielle des conversations textuelles en ligne entre des utilisateurs envisageant de s’automutiler et un service de chat basé sur l’IA. L’action de la FTC peut être lourde, et Savage se demande si les consommateurs sont vraiment mieux lotis par la suite.
Des difficultés peuvent être observées dans le cadre d’autorégulation proposé lui-même. Certains termes clés, tels que « informations sur la santé », ne sont pas entièrement définis.
Il est facile de dire que certaines données, comme les données génomiques, sont des données sur la santé. C’est plus épineux pour les autres types d’informations. Les chercheurs réutilisent des données apparemment ordinaires – comme le ton de la voix – comme indicateur de la santé. Définir la bonne définition est donc susceptible d’être une tâche délicate pour tout régulateur.
Pour l’instant, les discussions – que ce soit dans le secteur privé ou au sein du gouvernement – ne sont que cela. Certaines entreprises signalent leur optimisme quant à la possibilité que le Congrès promulgue une législation complète sur la protection de la vie privée. « Les Américains veulent une loi nationale sur la protection de la vie privée », a déclaré Kent Walker, directeur juridique de Google, lors d’un récent événement organisé par le R Street Institute, un groupe de réflexion favorable au marché libre. « Nous avons le Congrès sur le point d’adopter quelque chose. »
Cela pourrait être juste le tonique pour les critiques d’une approche d’autorégulation – selon les détails. Mais plusieurs détails, tels que qui devrait appliquer les dispositions de la loi potentielle, restent non résolus.
L’initiative d’autorégulation recherche un financement de démarrage, potentiellement de la part de philanthropies, au-delà des cotisations ou des frais qui la soutiendraient. Pourtant, Engle de BBB National Programs a déclaré qu’il était urgent d’agir : « Personne ne sait quand la législation sera adoptée. Nous ne pouvons pas attendre cela. Il y a tellement de ces données qui sont collectées et qui ne sont pas protégées. »
La journaliste du KHN, Victoria Knight, a contribué à cet article.
Cet article a été réimprimé à partir de khn.org avec la permission de la Henry J. Kaiser Family Foundation. Kaiser Health News, un service d’information éditorialement indépendant, est un programme de la Kaiser Family Foundation, une organisation non partisane de recherche sur les politiques de santé non affiliée à Kaiser Permanente. |